Những điều cần lưu ý với Home Agent

Một phần của tài liệu Nghiên cứu giao thức Mobile IP và giải pháp bảo mật (Trang 65)

Khi nhận được bản tin yêu cầu đăng ký HA sẽ kiểm tra theo các bước thứ tự

như sau:

- Kiểm tra các mở rộng xác thực (Authentication Extension).

- Kiểm tra giá trị Identification.

Sau khi kiểm tra tính hợp lệ của bản tin yêu cầu đăng ký, HA sẽ cập nhật lại bảng thông tin của các MN mà nó quản lý.

Một sốđiều cần lưu ý:

- HA có thể từ chối các bản tin yêu cầu đăng ký được gửi quảng bá trong cùng mạng với nó.

- Nếu giá trị trường thời gian sống (Lifetime) bằng 0 và CoA trùng với địa chỉ

nhà của MN thì HA xoá tất cả các thông tin liên quan tới CoA này. Đây chính là cách mà MN yêu cầu HA ngừng cung cấp dịch vụ di động cho nó.

- Nếu Lifetime bằng 0 mà CoA khác địa chỉ nhà của MN thì HA sẽ xoá tất cả

các thông tin liên quan tới CoA này khỏi bảng liên kết.

- Nếu Lifetime>0 thì HA sẽ thêm CoA mới vào bảng liên kết. Nếu bit S=0 thì tất cả các thông tin về CoA này trước đó sẽ bị xoá hết.

Giá tr các trường trong Registration Reply.

Địa chỉ IP nguồn (IP source address )

Được chép lại từ địa chỉ IP đích của bản tin yêu cầu đăng ký . Nếu địa chỉ

IP đích là dạng quảng bá (broadcast) hoặc dạng gửi theo nhóm (multicast) thì HA sẽ đặt địa chỉ của chính mình vào đây.

Địa chỉ IP đích (IP Destination address).

Được chép lại từđịa chỉ IP nguồn của bản tin yêu cầu đăng ký.

UDP Source port

Được chép lại từ cổng đích UDP của bản tin yêu cầu đăng ký.

UDP Destination port

Được chép lại từ cổng nguồn UDP của bản tin yêu cầu đăng ký.

Được chép lại từ trường tương ứng trong bản tin yêu cầu đăng ký. Nếu giá trị này lớn hơn giá trị lớn nhất mà HA có thể chấp nhận được thì nó sẽ được giảm xuống giá trị lớn nhất này.

Thứ tự các mở rộng trong bản tin trả lời yêu cầu đăng ký

- Các mở rộng không phải loại xác thực (Non-authentication extension).

- Mở rộng giữa MN và HA (Mobile-Home Authentication Extension)

- Mở rộng giữa FA và HA (Foreign-Home Authentication Extension)

2.7.4. Mt s vn đềđịnh tuyến trong Mobile IP

a) Với Mobile Node

nếu MN sử dụng địa chỉ tạm thời của Foreign Agent thì nó có thể coi Foreign Agent là bộ định tuyến mặc định trong quá trình định tuyến gói tin. Địa chỉ

MAC của gói tin có thể nhận được thông qua bản tin thông báo về Agent. Ngoài ra thì MN cũng có thể chọn bộđịnh tuyến mặc định trong danh sách các bộđịnh tuyến nhận được trong bản tin thông báo về bộđịnh tuyến (ICMP Router Advertisement). Nếu MN nhận được CoA trùng với địa chỉ nguồn của bản tin thông báo về Agent thì nó có thể lấy địa chỉđó làm địa chỉ của bộđịnh tuyến mặc định.

Khi MN rời khỏi Home Network, nó không được phát gói tin ARP để xác

định địa chỉ MAC của thiết bị khác. Do đó việc có địa chỉ của bộđịnh tuyến thông qua ICMP Router Advertisement không thể sử dụng được trong việc chọn bộ định tuyến mặc định trừ khi MN có cách khác để có thể có địa chỉ MAC mà không phải sử dụng ARP.

b) Với Foreign Agent

Khi Foreign Agent nhận được một gói tin gửi tới địa chỉ CoA được quảng bá nó sẽ kiểm tra địa chỉđích của gói tin xem có trùng với địa chỉ MN đã đăng ký với nó không. Nếu trùng thì Foreign Agent chuyển tiếp gói tin tới MN, ngược lại thì gói tin sẽ bị huỷ bỏ.

Khi nhận được gói tin thừ MN, Foreign Agent kiểm tra rồi gửi cho Home Agent thông qua đường ngầm.

Tương tụ như MN, Foreign Agent cũng không được phát các gói tin quảng bá ARP để xác định địa chỉ MAC của MN. Danh sách địa chỉ MAC của MN được lấy từ các bản tin yêu cầu thông báo về đại lý hoặc bản tin yêu cầu đăng ký. Danh sách này không được hết hạn trước khi MN gửi một bản tin yêu cầu đăng ký mới hoặc khi Foreign Agent có cơ chế khác để có được địa chỉ MAC mà không thông qua ARP.

c) Với Home Agent

Home Agent nhận tất cả các bản tin có địa chỉ tới là của những MN đã đăng ký với nó, nếu địa chỉ IP đích của gói tin trùng với 1 trong các địa chỉ đã được đăng ký thì Home Agent sẽ chuyển tiếp gói tin tới địa chỉ CoA tương ứng.

d) Với các gói tin quảng bá

Khi Home Agent nhận được một gói tin quảng bá nó sẽ kiểm tra trong danh sách MN đã đăng ký xem MN nào yêu cầu nhận được các gói tin quảng bá thông qua bit B trong bản tin yêu cầu và chuyển tiếp gói tin quảng bá này tới các MN đó

2.7.5. Mt s phương pháp đóng gói trong Mobile IP

Quá trình chuyển tiếp các gói tin tới địa chỉ CoA được thực hiện bằng cơ

chế đóng gói. Các HA và FA phải có khả năng sử dụng một cơ chếđóng gói ngầm

định IP trong IP. Ngoài ra, còn có các cơ chế đóng gói khác nhưĐóng gói tối thiểu

a) Đóng gói IP trong IP

Hình 26: Đóng gói IP trong IP

Mobile IP xem xét việc đóng gói là cách chung nhất để chuyển các khối từ

một Home Network của MN đến một đại lý. Trong phương pháp đóng gói IP trong IP có một số hạn chế như sau :

- không giải quyết được vấn đề an toàn trong việc sử dụng các tuỳ chọn IP source routing.

- có nhiều node di động Internet xử lý tùy chọn IP source routing không hợp lệ.

- Firewall có thể loại bỏ các khối IP source-routed.

Để đóng gói khối IP sử dụng phương pháp đóng gói IP trong IP, một Outer IP Header được chèn vào trước IP Header đã tồn tại của khối như hình trên. Địa chỉ

nguồn và địa chỉđích của mào đầu gói tin Outer IP Header xác định điểm kết thúc của đường ngầm, địa chỉ đích và nguồn của mào đầu gói tin IP được đóng gói (Inner IP) chỉ ra người gửi và người nhận thực sự của gói tin. Việc đóng và mở gói tin không làm thay đổi nội dung của phần mào đầu IP phía trong ngoại trừ việc có thể trường TTL giảm đi một đơn vị.

Ý nghĩa của các trường :

- Version : 4

- IHL : Internet Header Length – là độ dài của Outer IP Header có giới hạn 32 bit từ khoá.

- TOS : Type of Service – là một bản sao từ một Inner IP Header

- Total Length: được quy định là độ dài của thực thể khối IP đã được đóng gói bao gồm cả outer header, inner header và IP payload.

- Indentification, Flags, Fragment Offset,TTL : Các trường này được đặt theo qui định của phần mào đầu IP. Tuy nhiên nếu bit “Không phân mảnh” (don’t fragment) của phần mào đầu gói IP được đóng gói được đặt bằng 1 thì bit này của phần mào đầu của gói IP ngoài cũng phải được đặt bằng 1.

- Protocol 4

- Header Checksum : Phần kiểm tra tính chính xác của phần mào đầu gói IP ngoài.

- Source Address : Địa chỉ IP của điểm đóng gói gói tin IP

- Destination Address : Địa chỉ IP của điểm mở gói gói tin IP

Khi đóng gói một khối trường TTL trong Inner IP Header giảm đi một đơn vị nếu ống dẫn là một phần của việc chuyển tiếp khối, mặt khác Inner IP Header TTL không thay đổi trong quá trình đóng gói nếu giá trị TTL trong Inner IP Header

được đặt bằng 0

b) Phương pháp đóng gói Minimal Encapsulation for IP

Hình 27: Đóng gói Minimal Encapsulation for IP

IP Header

IP Payload Minimal forwarding header

IP Payload Modified IP Header

Cũng tương tự phương pháp đóng gói IP trong IP, nhưng phương pháp này sử dụng cho gói tin nhỏ hơn.

Các trường trong Modified IP Header.

Protocol 55 (Minimal Encapsulation for IP) Destination Address

Địa chỉ IP của điểm mở gói gói tin

Source address

Địa chỉ IP của điểm đóng gói gói tin

Total Length

Độ dài của toàn bộ gói tin bao gồm cả phần mào đầu thêm vào (minimal forwarding header) (chiều dài từ 8 đến 12 octet).

Hình 28: Minimal Encapsulation Header

Protocol

Được chép lại từ trường tương ứng của gói IP ban đầu.

Original Source Address Present (S)

0 Original Source Address không được dùng. Chiều dài của Minimal forwarding headder là 8 octets.

Header Checksum Protocol Resserved

Original Destination Address (if present) Original Source Address

0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

1 Original Source Address được sử dụng. Chiều dài của Minimal forwarding headder là 12 octets

Reserced

Được đặt bằng 0, sử dụng trong tương lai.

Header checksum

Phần kiểm tra tính chính xác của toàn bộ gói kể cả phần mào đầu được thêm vào (minimal forwarding header).

Original Destination Address

Được chép lại từđịa chỉđích của gói tin IP gốc.

Original Source Address

Được chép lại từđịa chỉ nguồn của gói tin IP gốc nếu bit S =1.

c) Phương pháp đóng gói GRE ( Generic Routing Encapsulation )

Cả hai phương pháp đóng gói đã trình bày ở trên đều có những ưu nhược

điểm cụ thể, tuy nhiên một phương pháp đóng gói khác có thể khắc phục được những nhược điểm kể trên là phương pháp đóng gói GRE. Phương pháp đóng gói GRE thực hiện tốt quá trình đóng gói gói tin của giao thức A gửi qua một giao thức B nào đó.

Delivery Header GRE Header Payload packet

Checksum Present (bit 0)

Nếu bit này bằng 1 thì các trường Checksum và Reserved1 chứa thông tin và ngược lại.

Reserved 0

Bên nhận sẽ huỷ gói tin nhận được nếu các bit từ 1-5 của trường này khác 0 (trừ khi bên nhận tuân theo RFC 1701 khuyến nghị về GRE trước đây ). Các bit từ 6 - 12 được đặt bằng 0 và để dùng trong tương lai.

Version Number

Giá trị bằng 0.

Protocol type

Trường này chứa giá trị xác định giao thức được sử dụng của gói tin trong phần tải tin (payload).

Checksum

Giá trị 16 bit là kết quả của việc cộng modulo 2 các đơn vị 16 bit của GRE header và phần tải tin. Giá trị của Checksum khi đưa vào tính bằng 0.

Reserved1 Đang nghiên cứu 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Protocol Type Reserved0 Ver C

2.8. Kết luận chương

Mobile IP là một chuẩn định nghĩa bởi IETF. Mobile IP cho phép người dùng giữ nguyên địa chỉ IP trong khi vẫn giữ kết nối và duy trì các ứng dụng trong khi di chuyển giữa các mạng IP. Mobile IP đã giúp loại bỏ việc ngắt kết nối, và kết nối lại khi điểm kết nối vào mạng thay đổi.

Chương 3 GIẢI PHÁP BẢO MẬT CHO MOBILE IP

3.1. Nguy cơ an ninh và bảo mật trong Mobile IP

3.1.1. Các yêu cu bo mt thông tin trên mng

Các mục tiêu chính của bảo mật thông tin trong mạng bao gồm:

- Bí mật dữ liệu (Data confidentiality): chỉ cho phép những người có quyền mới được truy cập thông tin;

- Toàn vẹn dữ liệu (Data integrity): những người không được phép thì không được quyền thay đổi dữ liệu;

- Xác thực (Authentication): đảm bảo định danh của đích cũng như xuất xứ của thông tin;

- Nhất quán (Non-repudiation): một thực thể không thể tùy ý phủ nhận việc gửi đi một gói tin hợp lệ do thực thểđó gửi đi;

- Kiểm soát truy cập (Access control): những người không có quyền không thể truy cập các tài nguyên;

- Tính sẵn sàng và hoạt động đúng của dịch vụ (Availability and correct functioning of services): thông tin luôn sẵn sàng cho những người dùng hợp lệ khi người dùng cần tới.

3.1.2. Các nguy cơ vi bo mt ca Mobile IP

Môi trường điện toán di động về tiềm năng là rất khác biệt so với môi trường điện toán truyền thống. Trong hầu hết trường hợp, các máy tính di động sẽ

kết nối với mạng thông qua các liên kết không dây. Các liên kết trong môi trường không dây là dễ bị tổn thương bởi việc nghe lén thụđộng (eavesdropping), tấn công replay chủđộng (active replay attack) và các kiểu tấn công chủđộng khác.

Bên cạnh các nguy cơ của kết nối không dây (không xét tới trong luận văn này như: nghe lén - eavesdropping, truy cập trái phép – unauthorized access, các kiểu tấn công trên tầng MAC…) các vấn đề và nguy cơ về bảo mật do đặc thù của Mobile IP bao gồm:

- Định hướng lại (redirection): trong cơ chế hoạt động của Mobile IP có sự định hướng lại gói tin từ HA tới MN khi MN không ở mạng thường trú. Do dó, các định hướng giả mạo lại gói tin là một nguy cơ

an ninh chính của Mobile IP. Xác thực giữa MN và HA của Mobile IP

đã cung cấp một cơ chế cơ bản để tránh kiểu tấn công này.

- Các thông điệp ARP (Addresss Resolution Protocol): không được xác thực có thể bị lợi dụng để đánh cắp dữ liệu của một trạm khác. Việc sử dụng ARP trong Mobile IP sẽ chứa đựng nguy cơ đó, các trạm không có quyền vẫn có thể sử dụng ARP để tiến hành tấn công giả

mạo (masquerading attack). Hiện tại chưa có giải pháp nào để cung cấp ARP một cách bảo mật. Tuy nhiên, đây là một vấn đề của tầng liên kết dữ liệu và cần được khắc phục ở tầng liên kết dữ liệu chứ

không phải Mobile IP.

- Xác thực (authentication): bên nhận một thông điệp phải có khả năng xác định xuất xứ của thông điệp đó. Do đó, các thủ tục xác thực giữa MA và MN là một chức năng cần có. Tuy nhiên, kỹ thuật xác thực trong Mobile IPv4 giữa MN và FA chưa đủ tin cậy [21]

- Mobile IP không đưa ra yêu cầu xác thực các thông điệp quảng bá (Agent Advertisement) của HA, FA cũng như thông điệp mời quảng bá (Agent Solicitation) của MN. Do đó, một FA giả mạo có thể gửi một quảng bá để nhận được từ MN một yêu cầu đăng ký mới và chưa

được sử dụng. FA giả mạo này sau đó có thể dùng dữ liệu đó để thực hiện các tấn công đối với HA như tấn công từ chối dịch vụ (DoS – Denial-of-Service) hay nghe trộm (man-in-the-middle).

- Tuy Mobile IP chỉ ra rằng một thông điệp quảng bá từ một FA mới không nên tác động để một MN tiến hành đăng ký mới nếu nhưđăng ký hiện tại của MN chưa hết hạn và vẫn đang nhận quảng bá từ FA mà MN đã đăng ký. Nhưng một FA giả mạo vẫn có thể khiến các MN

đang yêu cầu FA mới hoặc các MN đã mất kết nối với FA trước đó. - Lọc đầu vào (Ingress Filtering): Các bộđịnh tuyến ngoại biên của các

nhà cung cấp dịch vụ (ISP) hay của một mạng ngoài có thể bỏ qua các gói tin chứa địa chỉ IP nguồn không thuộc mạng đó. Vấn đề này được gọi là lọc đầu vào. Trong Mobile IP, các MN đang ở mạng ngoài – nhưđang ở một mạng của ISP khác - sử dụng địa chỉ IP gốc của MN sẽ dẫn tới gói tin sẽ bị thiết bịđịnh tuyến bỏ qua.

- Thêm váo các nguy cơ, Mobile IP không chỉ ra phương thức để đảm bảo tính bí mật (confidentiality) và tính toàn vẹn (integrity).

- Mobile IP chưa đưa ra môt cơ chế quản lý khóa. Do đó việc quản lý khóa thủ công trong trường hợp mạng lớn, phức tạp với nhiều nút di

động có thể là một nguy cơ.

Các công nghệ mạng trong tương lai cần hỗ trợ nhiều hơn nữa các dịch vụ

bảo mật. Trong đó, tính toàn vẹn và bí mật thông tin đầu – cuối (end-to-end integrity and confidentiality) là một vấn đề quan trọng. Tuy nhiên, các mạng thông tin di động hiện tại chưa hỗ trợđầy đủ tính bí mật và toàn vẹn thông tin.

3.1.3. Các gii pháp bo mt cho Mobile IP

Qua phân tích các nguy cơ, các giải pháp bảo mật cho Mobile IP bao gồm: - Giải pháp chống tấn công trong giao thức Mobile IP: Đây là giải pháp

chống replay bằng nhãn thời gian và nonce được đưa ra trong chuẩn giao thức Mobile IP [2] .

- Giải pháp xác thực trong Mobile IP: các gói tin trong Mobile IP được xác thực thông qua mở rộng của các gói tin Mobile IP[2] ; xác thực

theo giao thức yêu cầu/đáp ứng (challenge/response[5] ; xác thực với khóa công khai [14] ; hoặc xác thực với khóa công khai tối thiểu [22] .

- Giải pháp kết hợp xác thực, kiểm soát, tính phí và quản lý khóa thông

Một phần của tài liệu Nghiên cứu giao thức Mobile IP và giải pháp bảo mật (Trang 65)

Tải bản đầy đủ (PDF)

(121 trang)